作者:@korpi87
编译:Kxp,BlockBeats
当“小狐狸”钱包跳出授权钱包时,要先了解清楚这个签名的意义及细节。
你可能很难想象,Metamask中一个简单的签名就能掏空你的钱包。但这样的事却发生在了一名资深用户身上,今天他因一个漏洞损失了近50万USDC。如果不多加小心的话,你可能就是下一个他。所以,今天我想和大家讲讲这件事的来龙去脉,告诉大家以后如何注意此类问题。
那是在一个安静的午后时分,Joe突然发现自己的钱包被转走了46.9万USDC。这次转账并不简单,肯定不是攻击者能做出的行为,因为他们根本不可能得到Joe钱包的权限。那就说明,转走他所有USDC的应该是某个恶意合约。
Parex完成650万美元融资,DWF Labs与Bitgert Ventures参投:5月14日消息,社区驱动的去中心化自治组织 Parex 宣布完成 650 万美元新一轮融资, DWF Labs 和 Bitgert Ventures 参投,其中 DWF Labs 投资了 300 万美元,Bitgert Ventures 投资了 350 万美元。
Parex 是由 ParexChain、Parex Pockets、RaccoonSwap、Change 和其他去中心化应用构建的社区驱动的 DAO 生态系统,新资金将用于加速构建环境友好型 DeFi 和 DAO 生态,并计划推出 PEP-20 测试网之后上线主网。[2023/5/14 15:02:05]
在讲述今天的故事之前,我需要先向大家解释一些术语。USDC是以太坊上的一个具有多种功能的合约,规定了我们可以如何使用USDC。
Polygon黑客马拉松前50项目瓜分50万美元:9月16日消息,Polygon宣布了BUIDL IT Summer2022黑客马拉松的获胜者,其表示将有超50万美元的资源来帮助前50的项目开发人员建立一个更加公平的网络。据悉,今年提交的项目数量是去年的3.6倍,来自118个国家超过650个项目团队参加。[2022/9/16 7:00:03]
在众多功能当中,我们需要特别关注下面两项功能:
转账
代转
当你需要在钱包之间转移USDC,或其他ERC20s时,就需要用到转账功能。它可以将Token从调用者转移到其他地址。如果有人能以你的名义恶意使用该功能,那么他一定得先掌握了你钱包的全部权限才行。
元宇宙数字地图公司Spinview完成550万英镑Pre-A轮融资,Alchemmy领投:7月13日消息,总部位于英国伦敦的元宇宙数字地图公司Spinview宣布完成550万英镑Pre-A轮融资,管理咨询公司Alchemmy领投,英国政府创新基金Future Fund和一批天使投资人参投。作为元宇宙的一部分,Spinview结合了来自各种来源的数据并将其可视化,使客户能够理解和观察他们的数据,其工具可以将实物资产映射到数字平台,并使用这些数据远程分析其效率、状况和状态,或衡量利益相关者对虚拟环境的反应方式,目前这家元宇宙公司的主要业务覆盖事建筑、公路和铁路基础设施等。[2022/7/13 2:10:22]
Axie Infinity单日收入为1150万美元:金色财经报道,据TokenTerminal数据显示,NFT+区块链游戏项目AxieInfinity单日收入为1150万美元,近7天总收入9311万美元,近30天总收入3.2337亿美元。行情显示,当前AXS报价为68.19美元,日内跌幅5.42%。[2021/8/14 1:55:32]
当你与合约产生互动时,它们会通过代转功能来转移你的Token,具体金额由你提前预设好的比例决定。因此,如果你允许一项合约转移无限量的USDC,那么理论上它就可以拿走你所有的USDC。
现在让我们回到Joe的故事当中,转走他全部USDC的确实就是transferFrom功能。然而,只有当Joe批准合约使用他的USDC时,transferFrom才能发挥作用。但事实上,Joe坚信自己没有批准任何事项。
雄岸科技完成向狮子国际发行6450万股股份:雄岸科技(01647)发布公告,有关拟向狮子国际发行6450万股。认购协议项下的所有先决条件已获达成,而成交已于2021年3月26日落实。公司已根据认购协议的条款及条件向认购人配发及发行合共6450万股新股份,认购价为每股认购股份0.420港元。[2021/3/27 19:21:35]
可是,DeBank的交易记录清楚地显示,在漏洞发生前10分钟,该恶意合约可以无限使用账户中的USDC。那么问题就在于,如果不是Joe本人的话,究竟是谁给了该合约这一项批准呢?我只能说,Joe确实批准了这一操作,但却是在他不知情的情况下完成的。
Etherscan上的信息显示,Joe本人确实没有调用该功能,真正批准了这一额度的是其他地址,这才让恶意合约得以花光Joe全部的USDC。
我们不禁疑问,别人怎么能代替我给予合约许可呢?
许可功能的引入原本是为了改善以太坊的用户体验,它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说,只要有了你的签名,任何人都可以调用许可功能,并更新你对合约的批准额度。
当你使用1inchdApp时,你就可以体验到这一功能。如果你想在上面出售USDC,那你并不需要事先批准,只需要签上你的名字就够了。有了这个签名,1inch便获取了你全部USDC的使用权限。虽然1inch不会无缘无故花光你所有的USDC,但这却给了恶意合约机会。
Joe一定是不小心在一个恶意网站上签署了这样的信息。不幸的是,那一次他用的是热钱包,签名只是随手点击一下就完成了。如果他用的是硬件钱包的话,就需要在外部设备上签署信息,那么还会有一个思考的时间。
有了Joe的签名,其他地址便可以提交一个带有许可功能的交易,这样恶意合约就获取了Joe钱包全部USDC的使用权限。然后,只要它调用transferFrom功能,就可以转走全部这些资金了。
所以说,一个看似小小的签名却可以引来巨大的灾难。在某些情况下,Metamask会在你准备签名是对你发出警告,告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警,但这些一旦滥用往往会造成巨额的损失。
如何避免今后遇到类似的问题?
1.不要在Metamask中签署一切内容;
2.花点时间了解你所签署的内容;
3.对传统的批准事项要格外小心。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。